top of page
Obrázek autoraJosef Bátrla

Pokyny ÚOOÚ ke klíčovým oblastem GDPR

Co můžeme vyčíst ze zprávy o konzultační činnosti ÚOOÚ za rok 2023? Velmi zajímavé názory úřadu na zasílání obchodních sdělení třetí stranou, využívání online kamer či otisků prstů v rámci docházkového systému, které můžou mít zásadní dopad do praxe.

V minulém čísle jsme roze­bírali, na co si nejvíce lidé u ÚOOÚ stěžují a jaké stíž­nosti se nejčastěji opakují. To však není jediná interakce mezi ÚOOÚ a veřejností. Na úřad se totiž může (někdy i musí) obrátit mnoho správců s žádos­tí o konzultaci některých složitých otá­zek souvisejících s GDPR.


Svojí konzultační činností ÚOOÚ plní podle svých slov celkem dva cíle, z nichž primární je usnadnit správcům a zpracovatelům plnění jejich povinností, které na ně z GDPR dopadají. Druhým cílem je dle ÚOOÚ zvyšování povědomí veřejnosti o rizicích, pravi­dlech, zárukách a právech v souvislosti s ochranou osobních údajů. Abychom tomuto zvýšení povědomí napomohli, podíváme se v tomto článku na výstu­py z této činnosti za rok 2023.

Zákaznická výjimka pro OS platí jen pro přímý zákaznický vztah

Zasílání obchodních sdělení třetí stranou

Hned na úvod se podíváme na poměr­ně zásadní otázku, která se dotýká té­měř každého, kdo v životě nakupoval na internetu. ÚOOÚ se totiž v rámci konzultační činnosti zabýval otázkou zasílání dotazníků spokojenosti pro­střednictvím e­-mailů. Tyto e­-maily, kte­ré jsou odesílány ze strany společnos­tí doručujících zboží, byly dlouhodo­bě považovány za obchodní sdělení ve smyslu ustanovení § 2 písm. f) zá­kona č. 480/2004 Sb., o některých služ­bách informační společnosti a o změně některých zákonů – v tom se prakticky nic nezměnilo.


Jak ale postupovat v případě, že e­-maily jsou zasílány ze strany osoby, která zákazníkovi doručuje zboží pouze na základě smlouvy s prodejcem – tedy bez toho, aby byl mezi adresátem a odesílatelem jakýkoliv vztah, jakkoliv se předmětný e­-mail týká spokojenosti s doručením? Těžko. Podle ÚOOÚ ne­ lze dovozovat takzvanou zákaznickou výjimku u osob, mezi kterými není pří­mý zákaznický vztah. Pokud chce tedy kdokoliv ověřovat spokojenost s do­ručením, bude si k tomu bohužel mu­set vyžádat souhlas.


Doručování ve správním řízení

Každý, kdo někdy studoval správní právo, ať už se jednalo o studium střed­ní či vysoké školy, nebo i advokátní zkoušky, si mohl být poměrně jist, že v jeden okamžik si „vytáhne“ otázku nazvanou „doručování ve správním řízení“. Pokud jste měli možnost se správnímu právu ve svém životě zcela vyhnout, postačí vám jen vědět, že v některých případech správní orgány mohou doručovat svá rozhodnutí prostřednictvím veřejné vyhlášky, jež je následně vyvěšena na úřední desce (a tedy všem přístupná).


ÚOOÚ se v rámci konzultační činnosti zabýval postupem jednoho správního orgánu, který uvedl účastníky spolu s jejich osobními údaji na zvláštním listu, jenž byl přílohou rozhodnutí – a to proto, aby s ohledem na vysoký počet těchto účastníků ne­ bylo předmětné rozhodnutí zcela ne­přehledné. Otázkou zůstává, jak je to s ochranou osobních údajů všech těch­to účastníků, kterým není rozhodnutí doručováno do vlastních rukou, ale veřejně. Dle ÚOOÚ je takový postup zcela v souladu se zákonem a odpo­vídá tak i požadavkům právního titulu nezbytnosti pro splnění právní povin­nosti.


Provozování kamer s online přenosem

Jedna z otázek, která byla otevřena v rámci nové metodiky ke kamerovým systémům, se nám vrátila i v rámci vý­stupu z konzultační činnosti – a sice, zda je online kamera (online stream), která nevytváří záznam, zpracováním osobních údajů. Dle ÚOOÚ stále ano.


ÚOOÚ k tomu uvedl, že zpraco­váním dle čl. 4 odst. 2 GDPR se rozumí i zpřístupnění přenosem, přičemž ÚOOÚ „[…] přenosem rozumí možnost sledování především videozáznamu v reálném čase“. Pokud odhlédneme od zjevného oxymoronu, kde uživatel bezzáznamového systému může v reál­ném čase sledovat videozáznam (sic), dle ÚOOÚ nelze v takových situacích vyloučit riziko pořízení záznamu ze strany osoby, jež předmětný záznam aktuálně sleduje na svém zařízení. ÚOOÚ k tomu tak uvedl následující: „V souladu s uvedeným lze konstatovat, že citované nařízení dopadá na všechna zpracování prováděná prostřednictvím kamerového systému, ať už s pořizováním kamerového záznamu, nebo v režimu bez záznamu (online). To však pouze v případě, že zasahují do práv a svobod identifikovaných nebo identifikovatelných fyzických osob (především snímají fyzické osoby) a nejsou určena výhradně pro osobní potřebu.“

I online kamery bez záznamu v drtivé většině podléhají GDPR

Smluvní pokuta ve zpracovatelské smlouvě

Pokud jste zpracovatelem osobních údajů, jedna věc ve zpracovatelských smlouvách vám stoprocentně dělá vrásky na čele – a to smluvní pokuty týkající se zajištění vašich povinností. Zpracovatel při zpracování osobních údajů totiž musí dodržovat povinnos­ ti stanovené nejen GDPR, ale také ty, které jsou sjednány ve zpracovatelské smlouvě. Článek 28 odst. 3 GDPR totiž obsahuje pouze demonstrativní výčet povinností, jež musí zpracovatelská smlouva obsahovat, a finální podoba zpracovatelské smlouvy tak musí před­mětné náležitosti blíže rozvádět. GDPR ani zákon o zpracování osobních údajů nezakazují použití smluvní pokuty k zajištění plnění povinností. Smluvní pokuta je sama o sobě upravena občanským zákoní­kem a může být součástí smluvních vztahů mezi správcem a zpracovate­lem. Dle ÚOOÚ tak není v rozporu s GDPR (ba možná tak trochu naopak), pokud správce a zpracovatel zakompo­nují do své smlouvy povinnost uhradit smluvní pokutu správci.


Omezení výkonu práv subjektu údajů

V oblasti omezení výkonu práv sub­jektu údajů podle článku 23 obecného nařízení v kontextu zákona č. 171/2023 Sb., o ochraně oznamovatelů, se ÚOOÚ s vysvětlením konzultace nikterak nepřemáhal, uvedl pouze následující: „V případě, kdy správce osobních údajů obdrží žádost o uplatnění práv subjektu údajů (podle článků 12 až 22 obecného nařízení), a této žádosti v kontextu § 20 odst. 1 zákona č. 171/2023 Sb., o ochraně oznamovatelů, nevyhoví, resp. omezí práva subjektu údajů s ohledem na článek 23 obecného nařízení a § 11 odst. 1 zákona č. 110/2019 Sb., o zpracování osobních údajů, je povinen tuto skutečnost bez zbytečného odkladu ohlásit Úřadu. Tato povinnost vyplývá z § 11 odst. 2 zákona o zpracování osobních údajů. Uvedené lze konstatovat mj. i proto, že zákon o ochraně oznamovatelů předmětnou povinnost nevylučuje ani neobsahuje speciální úpravu.“

Pozor, zpracovatelská smlouva může obsahovat smluvní pokuty

Zpracování biometrických údajů v rámci docházky

ÚOOÚ se dále zabýval poměrně za­jímavou otázkou v rámci HR agendy, a sice zpracováním biometrických údajů, konkrétně otisků prstů fyzických osob, v docházkových systémech potravinářského průmyslu. Biometric­ké údaje, včetně otisků prstů, jsou totiž podle článku 9 odst. 1 GDPR považo­vány za zvláštní kategorie osobních údajů, přičemž platí, že jejich zpraco­vání je obecně zakázáno, pokud nejsou splněny výjimky uvedené v článku 9 odst. 2 GDPR.


A zde začíná být komentář ÚOOÚ zajímavý. ÚOOÚ totiž uvedl násle­dující: „Jelikož právním řádem České republiky není zpracování otisků prstů prostřednictvím docházkového systému za uvedeným účelem povoleno, nelze v České republice podle ustanovení článku 9 odst. 2 písm. b) obecného nařízení zpravidla tyto údaje zpracovávat. Ani hygienické ohledy (kontaminované klíče, karty) nejsou dostatečným důvodem pro zavedení ověřování za pomoci otisků prstů, které mj. může znamenat obdobné riziko kontaminace.“


Určitě si však kladete otázku, zda by takové zpracování nemohlo probíhat alespoň na základě souhlasu. K tomu ÚOOÚ uvádí následující: „Udělení výslovného souhlasu podle ustanovení článku 9 odst. 2 písm. a) obecného nařízení se zpracováním biometrických údajů v tomto případě s ohledem na přísné podmínky stanovené především článkem 4 bod 11 a článkem 7 citovaného nařízení není vhodné. V praxi je z pohledu správce především obtížně naplnitelná podmínka svobodného projevu vůle subjektu údajů, jelikož se v rámci uvedené problematiky v drtivé většině případů jedná o zaměstnance, kteří jsou ve vztahu vůči zaměstnavateli obecně považováni za slabší stranu. Rovněž je vzhledem k účelu docházkového systému problematická realizace práva subjektu údajů udělený souhlas kdykoliv odvolat tak snadno, jako byl udělen.“


Předmětná informace je poměrně zásadní, neboť v předchozích letech se ÚOOÚ k této otázce vyjadřoval zejména v rámci své kontrolní činnosti, přičemž několikrát došel k poměrně rozdílným závěrům (například pouze konstatoval obsahové nedostatky tako­vého souhlasu, nicméně samotný sou­hlas jako takový nevyloučil).

Pozor na využívání otisků prstů v rámci docházkového systému

Žádost o poskytnutí kopie telefonické nahrávky

Zajímavý závěr z konzultace si pro nás ÚOOÚ nechal na konec. Tematicky se totiž věnoval rozsahu práva na přístup v případě telefonických hovorů. Podle článku 15 GDPR je povinností správ­ce poskytnout subjektu údajů, který požádal o přístup k osobním údajům, osobní údaje, jež se ho týkají. Pokud nahrávka vzájemného telefonního hovoru obsahuje pouze osobní údaje týkající se subjektu údajů, správce musí poskytnout kopii této nahrávky v pl­ném rozsahu.


Pokud nahrávka obsahuje osob­ní údaje, které se netýkají subjektu údajů, správce musí dle ÚOOÚ před poskytnutím této nahrávky tyto údaje anonymizovat. Anonymizace musí být provedena tak, aby tyto údaje nebylo možné identifikovat ani po zpracování. V určitých případech může být nutné, aby žádost o poskytnutí nahrávky ob­sahovala datum pořízení a předmět ho­voru kvůli usnadnění vyhledání.


Zajímavé je však to, jak ÚOOÚ právo na přístup v tomto kontextu interpretuje, uvádí k tomu totiž násle­dující: „V této souvislosti je vhodné uvést, že obsahem práva na přístup k osobním údajům podle ustanovení článku 15 obecného nařízení, jímž je podle ustanovení článku 15 odst. 3 obecného nařízení rovněž poskytnutí kopie zpracovávaných osobních údajů, není míněno poskytnutí kopií všech kompletních dokumentů, např. smluv, obsahujících osobní údaje. V určitých případech je postačující uvedení konkrétního soupisu zpracovávaných osobních údajů spolu s vymezením, ve kterých dokumentech jsou předmětné osobní údaje uvedeny.“


Uvidíme však, jak předmětný ná­zor obstojí proti závěrům z rozhodnutí SDEU ve věci C­434/16, které se právě týkalo rozsahu práva na přístup ve vztahu k odpovědím a korektur­ním poznámkám zkoušejících jakožto osobním údajům.


Dopady do praxe

Co si můžeme vzít ze závěru z konzul­tací od ÚOOÚ? Závaznost právních názorů ÚOOÚ v rámci konzultační činnosti není vždy stoprocentní, ne­boť sám ÚOOÚ takovými názory při svém rozhodování není vázán a nelze tak vyloučit, že co jednou „povolil“, po­ druhé „zakáže“ ve formě sankce a kon­statování porušení GDPR. V každém případě je vždy ale vhodné vědět, jak ÚOOÚ na některé otázky nahlíží, aby­chom mohli být připraveni.


Comentários


bottom of page